Ciberseguridad: home office y la importancia de proteger los datos de las organizaciones

  • 70% de trabajadores remotos enfrentaron problemas relacionados con TI durante la pandemia.
  • Cursos, folletos mensuales de concientización y pruebas periódicas de seguridad como enviar correos electrónicos de phishing a todos los empleados son prácticas que ayudarán a capacitar a los colaboradores.

Debido a la propagación de la variante Omicron del nuevo coronavirus, muchas empresas tuvieron que posponer la vuelta al trabajo en la modalidad presencial. Y aunque el volumen de casos graves y hospitalizaciones no esté alcanzando cifras elevadas hasta el momento, el reto al que se enfrentan las empresas es precisamente mantener la productividad al alza con el home office y evitar problemas provocados por posibles fallos de ciberseguridad.

«Las organizaciones tuvieron que impulsar nuevos protocolos de compromiso de empleados y clientes, realizando trabajo remoto a una escala sin precedentes. En ese sentido, sin las protecciones de seguridad que nos ofrecen los sistemas de oficina, como firewalls y direcciones IP en la lista negra, somos mucho más vulnerables a los ataques cibernéticos” explica Majdi Halawani, analista de Control Risks.

Bajo este contexto, un estudio de Velocity Smart Technology indica que el 70% de trabajadores remotos habían enfrentado problemas relacionados con TI durante la pandemia, siendo que hasta el 54% tuvo que esperar hasta tres horas para que se resolviera el problema. Es de ahí la importancia de que las empresas que aún no lo han hecho, se adapten rápidamente a un modelo de trabajo remoto reduciendo riesgos relacionados con la seguridad de la información, como los esquemas de phishing; contraseñas débiles, uso compartido de archivos sin cifrar; Wi-Fi doméstico inseguro y acceso desde dispositivos personales.

Las empresas deben invertir en programas de gobierno de seguridad de la información

Para evitar que la empresa tenga que lidiar con estos problemas en la seguridad de la información, es necesario concienciar a los usuarios. «Los trabajadores remotos se enfrentan a la posibilidad de caer en estafas diseñadas para entregar sus datos o descargar un archivo adjunto malicioso como un keylogger, correos electrónicos de phishing, troyanos, virus, entre otros. Por lo tanto, lo más recomendable es que el trabajo se realice en una computadora portátil corporativa sujeta a controles de seguridad de acceso remoto. Esto debe incluir al menos la autenticación de dos factores para mitigar el riesgo de un delincuente de obtener acceso a la cuenta de un empleado, en paralelo con un programa de concientización de todos los usuarios con todos los riesgos de seguridad de la información «, dice Majdi Malawani de Control Risks.

Por lo tanto, establecer un programa de gobierno de seguridad de la información y gestión de riesgos de TI es esencial para que cualquier organización con empleados que trabajen desde casa pueda administrar los riesgos, incluida la orientación sobre cómo almacenar dispositivos de forma segura, crear y mantener contraseñas seguras y una política de uso aceptable para visitar sitios web no relacionados con el trabajo evitando poner en riesgo los datos de la organización. «Los objetivos del programa de concientización sobre seguridad son reducir la superficie de ataque de la organización, capacitar a los usuarios para que asuman la responsabilidad personal de proteger la información de la organización y aplicar las políticas y procedimientos que tiene para proteger sus datos. Estos pueden incluir, pero no se limitan a, políticas para el uso de la computadora, Internet, acceso remoto y otros que tienen como objetivo gobernar y proteger los datos de la organización», dice majdi.

El analista de Control Risks también indica que se ha adoptado el cortafuegos. «La expresión Human Firewall se refiere a la conciencia de seguridad de la información para crear un firewall, dependiendo de las acciones y actitudes del usuario durante y después de cualquier amenaza relacionada con la seguridad de la información o la protección de datos en la organización. Hoy en día, los delincuentes en línea no intentan entrar en el firewall, lo evitan. Las organizaciones han gastado miles de millones de dólares en el desarrollo de defensas en capas contra los atacantes en línea, pero existen soluciones como antivirus, sistemas de prevención y detección de intrusiones y otras técnicas para proteger la información. Con estas soluciones sofisticadas en su lugar, los atacantes ahora están recurriendo a ataques más dirigidos, centrados en engañar a los usuarios para que hagan clic en enlaces o abran archivos adjuntos», dice.

Por lo tanto, los componentes principales de los programas de concientización sobre la seguridad de la información son la capacitación de los empleados, incluidos cursos, folletos mensuales de concientización y pruebas; pruebas periódicas de seguridad de la información para ser incluidas en el mapa de riesgos que se pueden hacer de forma sencilla, como enviar correos electrónicos de phishing a todos los empleados, por ejemplo, para valorar cuánto fallará la prueba; y un buen programa de concientización sobre seguridad que brinde incentivos para estimular su uso.